Centos 7のインストールをWindowsドメインにバインドするプロセスを見つけようとしましたが、問題が発生しています。私は過去にいくつかのボックスでこれを成功させましたが、今はプロセスを文書化しようとしており、非常に奇妙なことをしています。
次のプロセスを使用してバインディングを実行しました。
- NTPのインストールと構成
- ソフトウェアパッケージのインストール:realmd、奇妙なタスク、奇妙なタスク-mkhomedir、sssd、samba-common、krb5-workstation、adcli
- Kerberos チケットの作成: kinit[Eメール保護]
- フィールド結合
- SSD構成の変更
[SSD] ドメイン = my.domain プロファイルバージョン = 2 サービス = nss,pam [ドメイン名/my.domain] ad_domain = my.domain krb5_realm=私のドメイン realmd_tags=システム接続とadcli管理 キャッシュ_資格情報=真 id_provider=広告 krb5_store_password_if_offline=真 Default_shell = /bin/bash ldap_id_mapping = true 完全修飾名を使用する = false Fallback_homedir = /home/%u@%d access_provider=広告 override_homedir = /ホーム/%u override_shell = /bin/bash
- SSDサービスの再起動
以前はこの方法は機能していましたが、何らかの理由でネットワーク資格情報を使用してログインすることはできませんでしたが、同僚は自分のアカウントの1つだけを使用して正常にログインできます。
sssd 設定にデバッグを追加すると、ログファイルにエラーが表示されます。
Could not convert objectSID [MY AD SID HERE] to a UNIX ID
また、ADから実際のアカウント名を取得したため、情報を取得することに違いありません。私たちはシステムに対して同じ権利を持っていますが、それは言葉ではありません。
私が試すことができる他の提案はありますか?
答え1
解決策は、ldapに表示されるIDマッピングの範囲を拡張することでした。広告が非常に大きく、デフォルトの範囲がその範囲内のすべてのユーザーをカバーするほど大きくないようです。つまり、表示できる objectSID だけをマッピングできるという意味です。私のSIDは私の同僚よりもはるかに高いので、その人はログインできますが、私はそうではありません。
解決策は、SSSD.confの基本セクションに以下を追加することです。
ldap_idmap_default_domain_sid=ドメインSID ldap_idmap_range_min = 200000 ldap_idmap_range_max = 2000200000 ldap_idmap_range_size = 1000000
引用: https://lists.fedorahosted.org/archives/list/[Eメール保護]/スレッド/2YYG6LPUYWX2TUTD5SY5NNTHOTQQIJTD/